Archives NanoJV. Septembre 2011.
"Black Tulip" (*) est une vaste opération de hacking menée entre le 17 juin et le 22 juillet 2011. L’arme du crime: un demi millier de faux certificats. Bilan: 300000 comptes piratés dont 99% en Iran. Les hackers ont ainsi pu fracturer en toute quiétude les codes personnels et les boîtes emails de leurs victimes. Bien que les logiciels utilisés pour mener l’attaque semblent avoir été développés par des équipes de niveau inégal, les meilleurs experts considèrent que l’incident est beaucoup lus grave que Stuxnet car il met directement en péril la sûreté informatique mondiale.
Les 531 faux certificats résultent d’un détournement effectué auprès de la société Diginotar, un fournisseur de certificat nééerlandais dont les serveurs n’étaient semble-t-il pas suffisamment sécurisés et facilement accessibles à des cyber guerriers déterminés… Les clients de plus de 40 fournisseurs d’accès iraniens et plusieurs université iraniennes ont été visés par les faux certificats permettant l’effraction des comptes email, voire la violation de transactions bancaires en ligne.
Selon les experts de Trendmicro, les logiciels utilisés en Iran pour éluder la censure ne seraient pas protégés contre des attaques de type Man in the Middle (Homme du Milieu). Une stratégie présentée par NanoJV et les meilleurs experts israéliens et lors du forum de cybersécurité 2011 à Paris (ici). La dangerosité de ce type d’attaque avait été mises en exergue et des solutions pour s’en prémunir esquissées.
En l’occurrence, l’utilisation des faux certificats a permis la lecture de données cryptées par une tierce partie. Les analystes ont par ailleurs révélé que des proxy ou serveurs écrans basés aux USA et destinés a contourner la censure en Iran ont été visés par l’attaque.
L’affaire ne s’arrête pas là, les pirates ont en effet émis de faux certificats ciblant des dizaines d’autres sites à l’international. Dont celui du Mossad ou de la CIA. Une plaisanterie, dans la mesure où ces sites ne sont que de simples vitrines destinées à distraire les internautes. Par contre la mention de Twitter, Skype, Microsoft et WordPress est beaucoup plus préoccupante car des millions d’utilisateurs se trouvent soudainement dans le collimateur.
Le Monde Informatique rebondit sur l’information et titre sans vergogne "la CIA le Mossad et le MI6 visés par des hackers iraniens"….Hum, hum. En tout état de cause si l’Iran est bien la victime réelle de l’opération "Tulipe Noire", comme le montre la vidéo ci-dessous, c’est l’opposition qui est la cible principale de l’attaque. A l’intérieur comme à l’extérieur du pays.
A l’origine du problème, on trouve une nouvelle fois une porte mal fermée. En l’occurrence des serveurs mal protégés. A quoi bon renforcer les systèmes de sécurité si la clé qui ouvre tout (les certificats) peut être volée par n’importe qui ? Eric Filiol, l’un des meilleurs experts français en cryptologie, avait particulièrement insisté sur ce point à l’occasion de la conférence Stuxnet organisée en mars dernier à l’Atelier BNP Paribas par NanoJV.
*
(*) Il est intéressant de noter que l’emblème de l’Iran qui figure au centre du drapeau de la République Islamique, consiste en quatre croissants traversés par une épée centrale. La forme évoque aussi une tulipe, symbole très ancien des martyrs iraniens…
*
*
Copyright NanoJV
*
*
Publié le 7 septembre 2011
0